Asset Management nach NIS-2 und ISO 27001: So schaffen Sie Klarheit über Systeme, Software und kritische Werte
Asset Management klingt für viele Unternehmen erst einmal nach Inventarliste. Genau das ist zu kurz gedacht.
Im Kontext von NIS-2 und ISO 27001 geht es nicht nur darum, zu wissen, welche Geräte irgendwo im Unternehmen herumstehen. Es geht darum, einen belastbaren Überblick darüber zu haben, welche Systeme, Anwendungen, Informationen und sonstigen Werte für den Betrieb relevant sind, wer dafür verantwortlich ist und welche davon besonders kritisch sind.
Denn ohne diesen Überblick wird Cybersicherheit schnell zum Blindflug.
Was Asset Management nach NIS-2 und ISO 27001 eigentlich bedeutet
Asset Management heißt in der Praxis: Sie erfassen die für Ihr Unternehmen relevanten Werte (=Assets) so, dass Sie sie für Sicherheitszwecke sinnvoll steuern können.
Asset Management: Welche Systeme und Werte Sie erfassen müssen:
- Server, Laptops, Firewalls und Netzwerkkomponenten;
- Betriebssysteme, Anwendungen und Cloud-Dienste;
- geschäftskritische Informationen und Datenbestände;
- Schnittstellen, Dienste und zentrale technische Abhängigkeiten;
- Räume, Schränke oder andere physische Aufbewahrungsorte (wenn darin sensitive Informationen sind);
- externe Dienstleister, soweit sie für Ihre Leistungserbringung relevant sind.
Das Ziel ist nicht, eine möglichst lange Liste zu erzeugen. Das Ziel ist, die relevanten Werte so sichtbar zu machen, dass darauf aufbauend Schutzmaßnahmen, Zuständigkeiten und Risikobewertungen möglich werden. Das passt auch zur NIS2-Logik der Cyber-Risikomanagementmaßnahmen.
Warum Asset Management unter NIS-2 und ISO 27001 so wichtig ist
Viele Sicherheitsmaßnahmen setzen voraus, dass überhaupt klar ist, was geschützt werden soll.
Ohne sauberes Asset Management bleiben zentrale Fragen offen:
- Welche Systeme gehören überhaupt zum relevanten (d.h. zu schützenden) Bereich?
- Welche Software und SaaS-Dienste sind tatsächlich im Einsatz?
- Wo liegen kritische Informationen?
- Welche Assets sind für den Geschäftsbetrieb besonders wichtig?
- Wer ist fachlich oder technisch verantwortlich?
Genau deshalb ist Asset Management keine Nebensache. Es ist die Grundlage für Risikomanagement, Schutzmaßnahmen, Wiederanlaufplanung und sinnvolle Verantwortlichkeiten. Das BSI ordnet Asset-Management ausdrücklich als zentrale Grundlage ein.
Der häufigste Fehler: Asset Management mit Buchhaltung verwechseln
Für NIS-2 reicht es nicht, nur die abschreibbaren Gegenstände aus der Buchhaltung zu kennen.
Aus Sicht der Informationssicherheit sind oft ganz andere Dinge relevant:
- ein bestimmter Cloud-Dienst, ohne den kein Kundenprozess läuft;
- ein VPN-Zugang oder Remote-Management-System;
- eine zentrale Datenbank;
- ein besonders sensibler Vertragsordner im Aktenschrank;
- ein Dienstleister mit privilegiertem Zugriff;
- ein unscheinbarer Netzwerkswitch, dessen Ausfall alles lahmlegt.
Deshalb sollte Asset Management nicht vom Rechnungswesen her gedacht werden, sondern vom Schutzbedarf und der betrieblichen Relevanz.
Asset Management: Welche Systeme und Werte Sie erfassen müssen
Ein pragmatischer Start sieht meist so aus:
1. Hardware
Zum Beispiel Server, Clients, Netzwerkkomponenten, Firewalls, mobile Geräte, Spezialhardware.
2. Software und Dienste
Betriebssysteme, Fachanwendungen, Standardsoftware, SaaS, zentrale Tools, Sicherheitslösungen.
3. Informationen und Daten
Kundendaten, Personaldaten, Vertragsdaten, Entwicklungsinformationen, Zugangsdaten, Konfigurationsdaten.
4. Physische Werte mit Sicherheitsrelevanz
Serverräume, Archivschränke, Zutrittspunkte, wichtige Papierunterlagen.
5. Kritische Abhängigkeiten
Dienstleister, Hosting, externe Administratoren, Kommunikationsverbindungen, Plattformen.
Nicht jedes Unternehmen muss mit derselben Tiefe anfangen. Aber die wesentlichen Werte und Abhängigkeiten sollten sichtbar sein.
Was ein gutes Asset Register enthalten sollte
Ein gutes Asset Register muss nicht kompliziert sein. Es sollte aber mehr leisten als eine bloße Geräteliste.
Sinnvolle Angaben sind zum Beispiel:
- Bezeichnung des Assets;
- Kategorie;
- Standort oder technischer Kontext;
- verantwortliche Person oder verantwortliches Team;
- Kritikalität oder Schutzbedarf;
- Abhängigkeiten zu anderen Assets;
- Status im Lebenszyklus;
- gegebenenfalls Hinweis auf besondere Schutzmaßnahmen.
Für bestimmte unter NIS-2 fallende Organisationen nennt die EU-Durchführungsverordnung 2024/2690 ausdrücklich, dass materielle und immaterielle Assets verwaltet, ein Asset-Inventar anlegt, Assets klassifiziert, nachverfolgt und über ihren Lebenszyklus geschützt werden sollen. Auch wenn diese Vorgabe nicht genau so für jedes Unternehmen gilt, zeigt sie sehr klar, in welche Richtung die Aufsicht und die fachliche Erwartung gehen.
Asset Management ist kein Selbstzweck
Die eigentliche Frage lautet nicht: "Haben wir irgendwo eine Liste?"
Die eigentliche Frage lautet: Hilft uns diese Übersicht dabei, Sicherheitsentscheidungen zu treffen?
Ein brauchbares Asset Management unterstützt zum Beispiel dabei,
- kritische Schwachstellen schneller einzuordnen;
- Verantwortlichkeiten sauber zuzuweisen;
- besonders schützenswerte Werte zu erkennen;
- Änderungen und Offboarding besser zu steuern;
- Sicherheitsvorfälle schneller zu analysieren;
- Risiken überhaupt erst managen zu können (siehe unseren Artikel zu Risikomanagement).
Wenn die Asset-Liste diese Dinge nicht unterstützt, ist sie meistens zu theoretisch oder zu schlecht gepflegt.
Was Auditoren oder Aufsichtsbehörden typischerweise sehen wollen
Niemand erwartet in jedem Unternehmen ein riesiges CMDB-Projekt.
Aber nachvollziehbar sollte sein:
- welche relevanten Assets überhaupt betrachtet werden;
- nach welchen Kriterien sie aufgenommen werden;
- wie kritische Assets erkannt werden;
- wer jeweils verantwortlich ist;
- wie Änderungen, Neueinführungen und Außerbetriebnahmen berücksichtigt werden;
- wie das Ganze mit Risikomanagement und Schutzmaßnahmen zusammenhängt.
Ein einfaches, gelebtes Verfahren ist auch hier besser als eine aufwendige Struktur, die intern niemand aktuell hält.
Typische Fehler beim Asset Management
Es werden nur Geräte erfasst
Dann fehlen Software, Daten, Cloud-Dienste und andere kritische Abhängigkeiten.
Es gibt keine Verantwortlichkeiten
Dann weiß später niemand, wer ein Asset fachlich beurteilen oder Änderungen freigeben soll.
Alles wird gleich behandelt
Dann verschwinden die wirklich kritischen Werte in einer endlosen Liste.
Das Register ist nach drei Monaten veraltet
Dann ist formal etwas dokumentiert, praktisch aber nichts gewonnen.
Asset Management und Risikomanagement sind nicht verbunden
Dann bleibt die Liste isoliert und hat kaum Nutzen für die Sicherheitssteuerung.
FAQ
Unser Tipp
Asset Management nach NIS-2 ist keine lästige Nebenübung und keine reine Inventarisierung. Es ist die Grundlage dafür, überhaupt zu verstehen, was in Ihrem Unternehmen geschützt werden muss, welche Werte besonders kritisch sind und wo Sicherheitsmaßnahmen ansetzen müssen. Wer hier sauber arbeitet, macht es sich später bei Risikomanagement, Schwachstellenmanagement und Audit deutlich leichter.
Interesse geweckt?
Wenn Sie Ihr Asset Management so aufbauen wollen, dass es in der Praxis funktioniert und als Grundlage für NIS-2 und Informationssicherheit wirklich taugt, dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!
Nein. Für NIS-2 und ISO 27001 reicht das in der Regel nicht. Relevant sind auch Software, Cloud-Dienste, Daten, kritische Abhängigkeiten und physische Werte mit Sicherheitsbezug.
Ja. Gerade Informationen, SaaS-Dienste, Berechtigungsstrukturen oder zentrale digitale Abhängigkeiten sind oft sicherheitskritischer als einzelne Geräte. Für bestimmte NIS2-Bereiche nennt die EU-Regulierung ausdrücklich sowohl materielle als auch immaterielle Assets.
Nein. Entscheidend ist, dass die für Sicherheit und Betrieb relevanten Werte ausreichend erfasst sind, damit Risiken bewertet und Maßnahmen gesteuert werden können.
Sinnvoll ist mindestens eine klare fachliche oder technische Zuständigkeit. Ohne Verantwortlichkeit wird Asset Management schnell zu einer toten Liste.
Nicht nur periodisch, sondern vor allem bei Änderungen: neue Systeme, neue Software, neue Dienstleister, Stilllegungen, Standortwechsel oder relevante Prozessänderungen sollten eingepflegt werden.
Weil Risiken nur dann sinnvoll bewertet werden können, wenn klar ist, welche Werte betroffen sind, wie kritisch sie sind und wovon der Betrieb abhängt.